Es habitual (y deseable) tener backups en diferentes medios y dispositivos. También en la nube.
Pero se trata de tenerlo en una nube asegurada y no accesible por cualquiera. #hilo_b1h0
(hilo) 🧵
Digo lo anterior porque es "normal" que m̶u̶c̶h̶a̶s̶ 𝕒𝕝𝕘𝕦𝕟𝕒𝕤 empresas, hagan un backup de la base de datos sobre una carpeta dentro del mismo servidor en producción. 😒
⬇️
Si bien no es algo generalizado, sí que suele coincidir que las empresas que hacen esto, tampoco se preocupan mucho de la seguridad de sus servidores.
⬇️
Y aquí llega el tercero en discordia. O debería decir, "los terceros". Los "bots", "spiders" o "crawlers" que indexan los sitios web. Sí, estos que ayudan a posicionar en indexar nuestras webs al mundo. Pero también los que dejan al descubierto los secretos de muchos.
⬇️
Ya lo dije hace días. No soy el único que lo dice, pero vuelvo a insistir. Hay cosas publicadas en internet que muchas veces sus propietarios no son conscientes de ello. Están ahí ocultas, a punto para que alguien separe el grano de la paja y las encuentre. 😑
⬇️
¿Y como se separa el grano de la paja en un buscador?
Usando los dorks que nos permiten afinar la búsqueda. De hecho, no hace falta que sea muy complejo. ¿Es magia? ¿Es hacking? No!!!! es simplemente hacer la consulta adecuada.
⬇️
Ya os lo comenté hace unos días con los DNIs publicados (muchas veces sin conocimiento de sus administradores) en muchas webs.
Por cierto, siguen publicados y avisé dos veces a la empresa.😑
⬇️
Pues bien. Volvamos ahora a los backups.
Una simple búsqueda con "𝕚𝕟𝕕𝕖𝕩 𝕠𝕗 /" 𝔸ℕ𝔻 𝕓𝕒𝕔𝕜𝕦𝕡 nos puede arrojar resultados con copias de seguridad. (se puede acotar más)
⬇️
Esto nos lleva a directorios abiertos con backups. Que si, que pueden ser antiguos, pero eso no quita que puedan tener datos importantes o sensibles. 😒
⬇️
En serio, a golpe de cuatro clicks ...
😑😑😑
⬇️
¿Que quieres acotar resultados por dominios de un país? No hay problema. Añade: 𝕤𝕚𝕥𝕖:*.𝕖𝕤
⬇️
¿Que poniendo backup no te arroja muchos datos?
Bueno, piensa en clave de sistemas y prueba con otras palabras.
⬇️
Verás como aparecen otros resultados.
⬇️
Que si, que a lo mejor pueden ser backups antiguos, que bla, bla, bla, bla ....
Sigue siendo peligroso que estén ahí.
⬇️
¿No te lo crees?
Usuarios, contraseñas y direcciones de correo .... 😑
⬇️
Así que... 1) No dejes backups antiguos en producción. 2) Guarda backups en servidores seguros y que estén cifrados. 3) Revisa las carpetas de tu servidor para que no sean indexadas y deshabilita el listado de directorio.
(fin) 🔚
• • •
Missing some Tweet in this thread? You can try to
force a refresh
¿Son los archivos .APK ejecutables?
Esta pregunta me surge de algunos textos que he visto por ahí y de una discusión reciente con otras personas. #hilo_b1h0
(hilo) 🧵
Nota 1: A partir de ahora (si no me olvido) pondré un hashtag en el primer tuit de mis hilos para identificarlos. El hashtag es: #hilo_b1h0
Alguien me comentó que quería agruparlos, y yo mismo al buscarlos me llevó tiempo, por lo que he decidido hacer esto. 💡
⬇️
Nota 2: No soy experto, ni mucho menos, en desarrollo de Apps Android. Estos es simplemente fruto de mi experiencia e investigación. Si alguien considera que estoy equivocado en algo, agradeceré sus aportes.
⬇️
DISCLAIMER: Usa siempre una máquina virtual (VM) si vas a acceder a sitios maliciosos o manipular malware. No es que en este caso vaya a ser muy peligroso, pero más vale prevenir.
⬇️
Primero, el teléfono. Hay muchos recursos para buscar información de teléfonos. En este caso voy a usar una herramienta llamada "phoneinfoga". La puedes descargar desde GitHub. github.com/sundowndev/pho…
⬇️
Intentaré no irme mucho por las ramas. 😅
Ayer me ofusqué demasiado sin tener en cuenta el elemento básico. El #smishing estaba preparado para funcionar única y exclusivamente en un dispositivo móvil.
⬇️
Y precisamente así se comportan los dos #smishings. Exactametne de la misma manera. En el caso del del @bbva al llegar a la página de "login" si el agente de usuario no es un dispositivo móvil ya no muestra el contenido y salta directamente a Google.
⬇️
Vamos a ver si me da tiempo a sacar algo de esto.
Intento hacer hilo analizando los datos en tiempo real (cosa complicada) a medida que salgan datos. Así que paciencia, que hilo puede tardar en aparecer.
(hilo) 🧵
Como se trata de sacar datos, aquí es cosa de "tirar del hilo", como se suele decir. Así que vamos a por los datos. Sabemos que es un SMS, por lo tanto, es un #smishing no un #phishing como he dicho esta mañana, aunque en esencia es lo mismo. Solo cambia el envío.
⬇️
Partimos de un número de teléfono: +34 677 553 154
¿Qué sabemos de este teléfono?
Es de España.
Pertenece a la compañía Vodafone.
No tiene WhatsApp.
⬇️
El correo sigue siendo una de las vías principales de transmisión en infección del #malware porque aquí, aparte de la solución de seguridad que adopte la empresa, existe otro elemento: El usuario.
(hilo) 🧵
Y este usuario llevará a cabo, de bien seguro, todas las acciones que no te esperabas. Para empezar, clicar en enlace que claramente son sospechoso. Pero el orden de las cosas será: 1) Clicar 2) Ver que salen cosas raras 3) Avisar al departamento IT
🤷♂️
⬇️
El correo anterior lo he recibido en una de mis cuentas empresariales. En el asunto, aparece el nombre de un antiguo cliente mío. En la lista de destinatarios está mi correo y el de otras personas que están en la agenda de correo de ese cliente y a las cuales no conozco.
⬇️
¿No os ha pasado nunca que lleváis unos días malos y necesitáis descargar energías negativas con alguien? Pero con alguien que se lo merezca, ¡¡¡claro!!! 😬
hilo de troleo a un scammer #scam#whatscam#whasapp ... 🧵
En realidad, se trata de transformar las vibraciones negativas en algo positivo. Ahí te descargas y ya ... 😎
⬇️
No es habitual, que conste, pero a veces me guardo algunos IOC's de cosas malas. En este caso me guardé el teléfono de un #scammer, por si algún otro día salía la oportunidad.
⬇️